# just-shield 권고 DB 스냅숏 — 공개 보안 권고에 "악성"으로 등재된 액션 버전/커밋.
#
# 형식: <owner/repo>@<ref 또는 40자리 SHA> <출처> <설명>
#   - 한 줄에 한 항목, 공백 구분. 첫 공백 전까지가 참조, 다음 토큰이 출처, 나머지는 설명.
#   - 대소문자 구분 없음.
#
# 갱신 절차 (릴리스 시):
#   1. GitHub Advisory(GHSA)/OSV/벤더 공지에서 액션 오염 권고를 수집한다.
#   2. "공개 권고에 등재된 사실"만 추가한다 — 추측·미확인 제보는 넣지 않는다 (ADR-0002).
#   3. 항목 추가 후 미탐 코퍼스(tests)에 해당 픽스처를 함께 추가한다.
#   4. 새 릴리스로 배포한다 — DB는 바이너리에 동봉되므로 갱신 = 릴리스.

# 2025-03 tj-actions/changed-files 태그 하이재킹 — 전체 버전 태그가 이 악성 커밋으로
# 이동되어 러너 메모리의 시크릿을 로그로 덤프함. 2만+ 저장소 노출.
tj-actions/changed-files@0e58ed8671d6b60d0890c21b07f8835ace038e67 CVE-2025-30066 태그 하이재킹으로 주입된 악성 커밋 (시크릿 덤프)

# 2025-03-11 reviewdog/action-setup v1 태그 오염 (18:42~20:31 UTC) — tj-actions 사건의
# 선행 공격. 시크릿을 워크플로 로그로 덤프. CISA KEV 등재 (GHSA-qmg3-hpqr-gqvc).
reviewdog/action-setup@f0d342d24037bb11d26b9bd8496e0808ba32e9ec CVE-2025-30154 v1 태그 오염으로 주입된 악성 커밋 (시크릿 덤프)
